Description de cette formation
Cette formation immersive vous permettra d'acquérir les compétences nécessaires pour identifier, exploiter et corriger les vulnérabilités web les plus répandues, en s'appuyant sur le Top 10 de l’OWASP, la référence internationale en matière de sécurité applicative.
À travers une approche pratique et orientée pentest, les participants analyseront une application web volontairement vulnérable et mettront en œuvre différentes techniques d’attaque utilisées dans les audits de sécurité réels.
Contenu de la formation
Objectifs pédagogiques
À l’issue de la formation, les participants seront capables de :
- Comprendre les principaux risques de sécurité liés aux applications web.
- Identifier les vulnérabilités les plus courantes présentes dans les applications web.
- Exploiter ces vulnérabilités dans un contexte de test d’intrusion contrôlé.
- Mettre en œuvre des mesures de correction et de prévention.
- Utiliser les outils couramment employés lors d’un pentest web.
- Comprendre la structure et les attentes d’un rapport d’audit de sécurité.
Introduction aux vulnérabilités web
Cette première partie pose les bases nécessaires pour comprendre le fonctionnement d’un audit de sécurité applicatif et le contexte dans lequel s’inscrit le pentest.
Les participants découvriront les concepts fondamentaux de la cybersécurité appliquée aux applications web ainsi que les aspects juridiques et méthodologiques liés aux tests d’intrusion.
Thèmes abordés
- Introduction à la cybersécurité et à la sécurité applicative
- Le cadre légal et éthique du pentest
- La méthodologie d’un test d’intrusion web
- Les différentes phases d’un audit de sécurité
- Présentation de l’application web vulnérable utilisée durant la formation
- Présentation des outils du pentest web
- Découverte et prise en main de Burp Suite Community
- Interception et modification des requêtes HTTP
- Analyse du fonctionnement des applications web
Les vulnérabilités du Top 10 OWASP
Cette partie constitue le cœur de la formation. Les participants apprendront à identifier, comprendre et exploiter les vulnérabilités majeures décrites dans le Top 10 de l’OWASP.
Chaque vulnérabilité sera abordée avec :
- une explication théorique
- une démonstration
- un atelier pratique d’exploitation
- les mesures de sécurisation à mettre en place
Thèmes abordés
- Présentation du Top 10 OWASP (évolutions entre 2017, 2021 et 2025)
- Injection SQL
- Injection de commandes
- Cross-Site Scripting (XSS) : réfléchi, stocké et DOM-based
- Vulnérabilités d’authentification
- Gestion des sessions
- Tokens et JWT
- CORS et mauvaises configurations
- CSRF (Cross-Site Request Forgery)
- SSRF (Server Side Request Forgery)
- LFI / RFI (inclusion de fichiers)
- Vulnérabilités liées à l’upload de fichiers
- Bypass des restrictions
- Upload de webshell
- Failles logiques métier
- Race conditions
- Élévation de privilèges
Approche pédagogique
La formation repose sur une approche très pratique, avec :
- des démonstrations en direct
- des exercices guidés
- des laboratoires pratiques
- des scénarios d’exploitation réalistes
Les participants travailleront sur une application volontairement vulnérable, reproduisant des situations rencontrées lors de véritables audits de sécurité.
Conditions de réalisation
Cette formation peut être réalisée en présentiel ou à distance, selon les besoins et les contraintes des participants. Les exercices pratiques nécessitent l’utilisation d’une machine virtuelle ou d’un environnement de laboratoire sécurisé, qui sera fourni aux participants.
Public cible
Cette formation s’adresse principalement aux développeurs, administrateurs systèmes, responsables sécurité/ DSI, consultants en cybersécurité.
Prérequis
Des connaissances de base en développement web sont recommandées pour suivre cette formation.
Modalités d'accès
L'inscription à la formation peut se faire en ligne ou après un entretien en visioconférence.
Délai d'accès
Le délai d'accès à la formation est généralement de 2 à 4 semaines, en fonction des disponibilités des participants et de l'organisation de la session.
Modalités d'accessibilité
La formation étant réalisée principalement à distance, elle est accessible aux personnes à mobilité réduite. En cas de réalisation en présentiel, la formation sera réalisée dans des locaux accessibles aux personnes à mobilité réduite.
Modalités d'encadrement
La formation est assurée par un expert en cybersécurité avec près de 10 ans d'expérience en cybersécurité offensive.
Suivi pédagogique
Les supports de cours au format PDF seront fournis aux apprenants. Par ailleurs, des plateformes d’entraînement en ligne à la cybersécurité seront utilisées.
Suivi de l'exécution
Un émargement en ligne quotidien sera effectué pour suivre la présence des participants.
Suivi des résultats
En fin de formation, un QCM sera effectué par les apprenants afin de valider leurs acquis.